Android セキュリティについて (Privacy Inspector, Privacy Blocker) [Android]
Android搭載のスマホにおけるセキュリティ問題が最近ホットなので少し自分の考えを書きたいと思いました。
初めに、これから書くことはOSレベルでの脆弱性ではありません。root取れるとか根本ではなく、あくまで個人レベルで自衛ができるものに関してです。
そう考えた場合、問題になるのはインストールするアプリのpermission、あとはそのpermissionを使って何をしているかだと思います。具体的にはread_contactとかread_phone_stateなど、個人の特定ができてしまうものプラスInternetソケットになると思います。
さらに突っ込むと、連絡先の読取とかはアプリによって必要性の判断はできるので(電話帳関係とか)置いておくとして、もっとも厄介なのがread phone stateだと個人的に思ってます。
前に書いたとおりOSバージョンで強制的に付加されるのも厄介ですが、アプリをみていると結構な確率で付加されています。このpermissionがあると、自分の端末情報とか電話番号とかも知ることは可能です。問題なのは、この権限が結構広義でアプリによって何に使われているかいまいちはっきりしないことだと思っています。
いつも前置きが長くて恐縮だけどここからが本題で、今回はRead Phome Stateの権限を使ってそのアプリが何をしているのかを知ることができるアプリ、Privacy Inspector、もしくはその有料版のPrivacy Blockerの紹介とレビューです。
ちなみに無料版はアプリのスキャンのみ、有料版だとスキャン+修正が可能です。
アプリをスキャンすると問題点を挙げてくれます。曖昧な記憶だけど、permissionを使ってなにかする場合、manifest,xmlへの記載はもちろん、ソース内にそれを書いてあげないといけなくて、例えばget_phone_numberとか書けば電話番号を取得できるとかそんな感じ(正確ではないです)。このアプリは一度アプリを復号化してソース内をスキャン、そういった構文を見つけ出してくれるものだと思っています。特にread phone state絡みの部分に特化してます。なのでREAD_PHONE_STATE権限を使ってなんの情報を得ているのかがわかるアプリです。
権限が怪しいアプリとしてCamera360というカメラアプリがあって、写真撮影に関係ないpermissionがたくさんあってその中にREAD_PHONE_STATEもあります。試しにPrivacy Inspectorでスキャンしてみてください。自分はCamera360は黒だと思います。SIMナンバーとか電話番号の取得をしています(正確にはすることができる)。Internet権限もあるのでしようと思えばそういった情報を集めることも可能だと思います。
他のREAD PHONE STATEがついたアプリ、例えばPowerAMPだと特に問題は挙がりません。広告(Ad)がついたアプリだとデバイスIDとか取得してる結果が得られますが、これはユニークアクセスの解析だと思いますし特に問題はないと思います。
有料版だとスキャンだけじゃなくて修正ができて、それが結構面白くて疑似の情報に書き換えるというもの。設定によって好きな情報に書き換えることができます、例えば電話番号を任意の数字にしたり。だたパッケージの再署名しているのでアンインストール後、再インストールする必要があって、アップデートの時もアンインストールしないといけないとか面倒はありますが。ただこのソフト自体最近アップデートしていない、プロテクトかかったアプリはスキャンできないので注意です。またインターネット通信をさせなくするとかじゃないので根本の解決にはなってないのでスキャンメインの使用がいいかなと思います。もしくはpermission自体はいじってないのでエラーが出ることがないのでそれ絡みで使うとか。怪しいアプリがあったらスキャンしてみると面白いかもしれません。
これまた曖昧な記憶だけど、アプリはインストールした時点じゃなくてその後実行して初めてPermissionsが与えられる仕様だった気がする、もともとウィジェットとかで使っていない限り。なので怪しいアプリをインストール→スキャン、結果アウトぽい結果でも実行しないでアンインストならセーフだった気がした。詳しい人その辺教えて。
2011-09-05 23:10
nice!(0)
コメント(1)
トラックバック(0)
勉強になります~(;´д`)
何か、ネット社会についてけずサーフィンしてここでコメしてます。。
無知なもんで…(´・ω・`)
この、コメ自体…オウンゴール状態なのは解っているけど…悔しくて(つд;*)クスン
すいません…初コメで、挨拶も無いまま愚痴を吐き参り気味になった迷い人です...
お邪魔しました(^.^)(-.-)(__)
また、読ませて頂きますね♪
by お名前(必須) (2013-12-27 16:49)